1

“Si vous ne pouvez expliquer un concept à un enfant de six ans, c’est que vous ne le comprenez pas complètement” - Albert Einstein

2

Pourquoi parler de sécurité ?

3

La sécurité - Pourquoi ?

ConfiancConfiancee

AffairesAffaires

PME

MarchéClients

e-Business / e-Commerce

4

Pourquoi la sécurité ? (suite)

PME

Protéger la réputation Eviter des pertes financières

Satisfaire aux exigences légales, assurances

Mais aussi...

Il est important de noter que nous ne protégeons pas nos biens pour des besoins de sécurité mais nous appliquons des mesures de sécurité pour protéger nos biens

5

La sécurité informatique, une entrée en matière

6

la confidentialité,l’intégrité,la disponibilité,la non-répudiation.

La sécurité = {mesures} permettant d’assurer la protection des biens / valeurs.

Information & Systèmes

La sécurité = {mesures} permettant d’assurer

La sécurité, une entrée en matière

la protection de l’information & Systèmes

{

7

Se protéger contre quoi ?

8

Menaces & Vulnérabilités

Menace = Action Vulnérabilité = Réactif

Générique Fonction de l’environnement

Ex: Activation et diffusion d’un virusau sein de la PME

Absence d’anti-virus centralisé et à jourUtilisation du lecteur de disquettePossibilité de téléchargement,…

9

Menaces liées à l’utilisation de l’InternetAccès aux services Internet Échange de courriers

électroniques à traversInternet

Portage de services surInternet

Codes Cachés Perte de performances –Perte de services

Perte de confidentialitéet/ou d’intégrité

« Cyberwoozles » Codes Cachés Monitoring

Zoos sites Propagation non autoriséede fichier

Social engineering sur lesite de l'organisation

Usage Inadéquat deRessources

Impersonalisation IP spoofing

Non respect des accordsCopyright

Perte de Confidentialité Pénétration du réseau

Perte de performances Usage personnel Divulgation Accidentelled’information

Perte de confidentialité Répudiation Utilisation non adéquate deprivilèges

Attaque à la vie privée Perte de courrierélectronique

Ingénierie Sociale sur siteclient

Comportement nondéontologique

Perte de performances –Perte de services.

Propagation non autoriséede fichier

Atteinte à la Réputation

Perte d’anonymat Impersonalisation de siteWeb

Maquillage de site Web

10

Vulnérabilités

Absence ou manque de procédures organisationnelles

Absence ou manque de procédures et mesures techniques

Ex:Absence de support et compréhension du managementAbsence de politique de sécuritéAbsence de programme de sensibilisation,Absence de personnel qualifié, ...

Ex: Absence du suivi des problèmes et solutions,Fichier de traces non configurés / non contrôlés,Présence d’utilisateurs fantômes,Absence ou faible niveau de ségrégation du réseau,Manque de contrôle des fichiers téléchargés, Absence de contrôle des médias de sauvegarde,Présence de service non requis sur les machines,Absence de tests négatifs,...

11

Faut-il se protéger et jusqu’à quel niveau ?

Tout dépend de notre environnement, de nos besoins propres.

Comment définir ses besoins en sécurité ?

En passant par une gestion des risques

12

Face à un risque, trois types de réactions possibles:

L’ignorance complète des risques

La protection totale

La gestion de risques

Gestion des risques

13

Principes de bases

Un risque n’existe que dans le cas où ses trois composantes sont présentes: Un Bien, une Menace et une Vulnérabilité.

Gestion des risques

Un risque ne peut être éliminé. Il peut seulement être réduit soit par la mise en place de meilleures protections soit en réduisant l’impact.

L’acceptation d’un risque est, en soi, un risque

14

Gestion des risques

Le pire des risques est celui dont vous ignorez l’existence

Exemple:

Quel est le risque pour votre entreprise que des systèmes d’informations (serveurs, stations de travail) soient infectés par un virus ?

Niveau de Risque

IMPACT

PROBABILITE

FAISABILITE

?

?

?

?

H: HautM: MoyenF: Faible

Fonction de la présence de vulnérabilités

Pour votre entreprise

Fonction du marché / environnement

15

16

Identification des mesures applicables

Infrastructure réseau

Stations / Serveurs / Bases de données

E-Applications / E-Services

Utilisateurs internes / externes

Organisation

Sécurité Organisationnelle

Analyse de risques

Politique de sécurité

Sécurité des utilisateurs

Gestion des utilisateurs / mots de passe ou authentifications fortes

Sécurité Applicative

Definition des profiles /roles

Verification des autorisation,

Chiffrement des donnéesSécurité des serveurs

Unix/ NT fortification

La sécurité réseauFirewall &

détecteurs d’intrusions

Chiffrement en ligne

17

Identification des mesures applicablesTenir compte des contraintes liés à votre environnement

Le budget octroyéL’environnement techniqueLes ressources disponibles La politique de sécurité de

l’entrepriseLes nouvelles vulnérabilités

introduites

18

Identification des mesures applicables

Fiches de risques

Liste des mesurespotentielles

Identification des contraintes

Plan de sécuritéorganisationnelle

Liste des mesuresapplicables

Plan de sécuritéphysique

Plan de sécuritétechnologique (IT)

19

Quel problème est-ce que la solution permet de résoudre ? Comment est-ce que la solution permet de résoudre le problème ?Quels autres problèmes la solution permet de résoudre ? Quels nouveaux problèmes la solution engendre ? Quels est le coût de la solution ? Est-ce que la solution vaut la dépense ?

Questions à prendre en considération dans le choix d’une solution

Identification des mesures applicables

20

Mécanismes d’authentification•Mot de passe statique•Générateurs de codes dynamiques•Cartes à puce•Systèmes biométriques•Signatures digitales et infrastructure à clés

publiques•Authentification unique et administration

centralisée

La Cryptologie•la cryptographie symétrique•la cryptographie asymétrique•la cryptographie hybride•SSL, PGP, VPN•la stéganographie

La sécurité des réseaux•firewall•détecteurs d’intrusions

La sécurité du commerce électronique•paiement par carte de crédit•monnaie électronique

Le Copyright sur l’Internet

L’ouvrage étudie et répond à ces questions pour les mesures de sécurité suivantes:

21

Implémentation et gestion de la sécurité

3 scénarios envisageables:

Utilisation de ressources internesOutsourcing (hébergement)Utilisation de ressources externes

22

S’il fallait mentionner deux qualités essentielles de tout bon responsable ou consultant en sécurité, ce serait la paranoïa et le bon sens. La paranoïa pour pouvoir identifier le plus grand nombre de scénarios de désastres et de vulnérabilité exploitables. Le bon sens pour pouvoir mitiger ces scénarios, identifier des priorités et des mesures de sécurité réalistes et cohérentes pour l’environnement étudié.

Conclusion

Didier Godart

23

didier.godart@skynet.be

http://users.skynet.be/fa104514/livre_securite.html

http://www.ecci.be

http://www.technifutur.be

Contacts & liens